Eigenschaften des Dienstanbieters konfigurieren

Auf der Seite Service Provider Properties (SAML only) (Eigenschaften des Dienstanbieters – nur SAML) können Sie die Attributfelder in der Metadatendatei des SAML-Dienstanbieters (Metadata.xml) befüllen lassen und konfigurieren. Den Link Service Provider Properties (SAML only) (Eigenschaften des Dienstanbieters – nur SAML) finden sie unter SETTINGS > Security Policies > User Auth > Single Sign-on (EINSTELLUNGEN > Sicherheitsrichtlinien > Benutzer-Authentifizierung > Einmalige Anmeldung).

Abbildung 1. Konfigurationsseite der Eigenschaften des SAML-Dienstanbieters (zu öffnender Link markiert)

Dieser Abschnitt behandelt, wie Sie die Datei „SAML/Metadata.xml“ mithilfe der Eigenschaften des Dienstanbieters in der Web-Benutzeroberfläche mit Daten befüllen können. Dazu gehören:

  • Erstellung eines Signaturzertifikats
  • Erstellung eines Verschlüsselungszertifikats
  • Einstellung der entsprechenden Assertion-Kundenschnittstellen
  • Einstellung der entsprechenden Single-Logout-Schnittstellen
Abbildung 2. Eigenschaften des Dienstanbieters (nur SAML)

Erstellung eines Signaturzertifikats

Der MOVEit-Server (Dienstanbieter) sendet eine Anforderung an den Identitätsanbieter. Der private Teil des Signaturzertifikats stellt sicher, dass die Anforderung vom MOVEit-Server stammt. Der Identitätsanbieter verwendet den öffentlichen Teil zur Überprüfung der Signatur.

Klicken Sie auf Create Certificate (Zertifikat erstellen), um die Seite „Signing Certificate“ (Signaturzertifikat) zu öffnen. Geben Sie die entsprechenden Werte ein und klicken Sie anschließend auf Create Certificate (Zertifikat erstellen). Nur der allgemeine Name (CN) ist erforderlich.

Das neue Zertifikat wird in der Liste aufgeführt.

Sie haben stets die Möglichkeit, ein vorhandenes Zertifikat zu ersetzen oder zu löschen.

Anmerkung: Während die meisten Server von einem Dienstanbieter ein Signaturzertifikat zum Signieren von Anforderungen erfordern, ist das Verschlüsselungszertifikat zwar optional, wird aber aus Sicherheitsgründen dringend empfohlen.

Erstellung eines Verschlüsselungszertifikats

Der Identitätsanbieter sendet eine „Authentifizierungsassertion“ oder eine andere Antwort an den MOVEit-Server. Der öffentliche Teil des Verschlüsselungszertifikats wird zur Verschlüsselung der Assertion verwendet. MOVEit verwendet den privaten Teil zur Entschlüsselung der Assertion.

Klicken Sie auf Create Certificate (Zertifikat erstellen), um die Seite „Encryption Certificate“ (Verschlüsselungszertifikat) zu öffnen. Geben Sie die entsprechenden Werte ein und klicken Sie anschließend auf Create Certificate (Zertifikat erstellen). Nur der allgemeine Name (CN) ist erforderlich.

Das neue Zertifikat wird in der Liste aufgeführt.

Sie haben stets die Möglichkeit, ein vorhandenes Zertifikat zu ersetzen oder zu löschen.

Einstellung der entsprechenden Assertion-Kundenschnittstellen

Über diese Schnittstelle wird festgelegt, wie MOVEit die Antwort (Benutzerauthentifizierung) vom Identitätsanbieter empfängt. Sie können mehrere Schnittstellen aktivieren, wobei der Identitätsanbieter die erste aufgeführte Schnittstelle verwendet, deren Bindung von ihm unterstützt wird.

  • HTTP-Post: Die HTTP-Post-Bindung bedeutet, dass MOVEit die Sicherheitsassertion vom Identitätsanbieter über den Clientbrowser unter Verwendung einer HTTP POST-Anforderung empfängt. Dies ist die am häufigsten verwendete und am breitesten unterstützte Bindung für Assertion-Kundenschnittstellen. Dies ist standardmäßig aktiviert.
  • HTTP-Artefakt: Die HTTP-Artefakt-Bindung bedeutet, dass MOVEit einen Verweis auf die Sicherheitsassertion (dieser Verweis wird als „Artefakt“ bezeichnet) vom Identitätsanbieter über den Clientbrowser unter Verwendung einer HTTP GET-Anforderung statt die Assertion direkt empfängt. MOVEit kontaktiert dann den Identitätsanbieter direkt über SOAP, um die eigentliche Assertion unter Verwendung des bereitgestellten Artefakts anzufordern.

    HTTP-Post wird in größerem Umfang unterstützt und ist für die meisten Situationen ausreichend. Es ist jedoch weniger sicher als HTTP-Artifact, da die Assertion-Daten den Client-Browser durchlaufen und dieser die Möglichkeit hat, auf Daten zuzugreifen, die der Client möglicherweise nicht sehen sollte. Dies kann durch die Verwendung eines Verschlüsselungszertifikats ausgeglichen werden, allerdings nur, wenn der Identitätsanbieter die Verschlüsselung von Antwortnachrichten unterstützt.

    HTTP-Artifact ist sicherer, da die Assertion-Daten niemals den Client-Browser durchlaufen, sondern nur der Verweis „Artefakt“. Es ist jedoch weniger weit unterstützt und erfordert zudem eine direkte Verbindung zwischen MOVEit und dem Identitätsanbieter, was einige Firewallregeln aus dem DMZ-Netzwerksegment möglicherweise nicht zulassen.

Stellen Sie die entsprechenden Single-Logout-Schnittstellen ein.

Diese Schnittstelle legt fest, wie der Identitätsanbieter eine Abmeldeantwort oder -anforderung an MOVEit sendet. Sie können mehrere Schnittstellen aktivieren, wobei der Identitätsanbieter die erste aufgeführte Schnittstelle verwendet, deren Bindung von ihm unterstützt wird.

Anmerkung: Shibboleth verfügt nicht über ausreichende Unterstützung für das Single-Logout. Die Verwendung dieser Funktion in Verbindung mit Shibboleth wird nicht empfohlen. Die Funktion ist nicht standardmäßig im Shibboleth-Identitätsanbieter aktiviert, deshalb zeigt MOVEit die Abmeldefunktion in der Administratorschnittstelle nicht an. Wenn die Funktion im Identitätsanbieter aktiviert ist, empfehlen wir Ihnen, sie hier zu deaktivieren. Heben Sie hierzu die Auswahl der Option Enabled (Aktiviert) für alle Single-Logout-Schnittstellen auf.
  • HTTP-Post: Die HTTP-Post-Bindung bedeutet, dass MOVEit die Abmeldeanforderung oder -antwort vom Identitätsanbieter über den Clientbrowser unter Verwendung einer HTTP POST-Anforderung empfängt. Dies ist standardmäßig aktiviert.
  • HTTP-Umleitung: Die HTTP-Umleitungsbindung bedeutet, dass MOVEit die Abmeldeanforderung oder -antwort vom Identitätsanbieter über den Clientbrowser unter Verwendung einer HTTP GET-Anforderung empfängt.

Angabe des Identitätsanbieters in der Metadatendatei des Dienstanbieters

Mit der Metadatendatei des Dienstanbieters wird Ihre MOVEit-Serverorganisation als Dienstanbieter ausgewiesen. Identitätsanbieter können auf diese Datei über die Dienstanbieter-Metadaten-URL zugreifen.

Bei der Konfiguration des Identitätsanbieters können Sie diese URL direkt in den Konfigurationseinstellungen dem Identitätsanbieter bereitstellen. Dies erfordert einen direkten Internetzugriff des Identitätsanbieters auf den MOVEit-Server. Wenn dies nicht der Fall ist, können Sie die Datei herunterladen und anschließend auf den Identitätsanbieter hochladen.

Anmerkung: Diese Metadatendatei wird aktualisiert, wenn Sie die Einstellungen für ein Zertifikat, die Assertion-Kundenschnittstelle oder die Single-Logout-Schnittstelle ändern. Stellen Sie sicher, dass Ihr Identitätsanbieter mit der neuen Datei aktualisiert wird.